  |
はてなキーワード: 不正アクセスとは
マッチングアプリ「Omiai」に不正アクセス 免許証や保険証など171万人分の画像データが流出か (BuzzFeed)
に対して「セブンペイの時も思ったけど…提供したいサービスに対して、企業のIT関係の力がクソ雑魚な日本企業多すぎ… 」はまぁわかる。
次の文章「いや、不登校の人を除けば、今でもWindowsXPや一太郎が現役だと言われてる公立学校と言う場所が一番「扱ってる情報」と「そこで働くデジタルリテラシー」が合ってないんだけどね…。私には公立校の55歳以上の教師がスマホ使いこなしてる姿が想像できんもん…割とマジで」
ワクチン大規模接種東京センターの予約システムで発生した、適当な数字を入力しても予約できるシステムの不備はバグなのか脆弱性(セキュリティホール)なのかを考えていこう。
もし、脆弱性であるとするならば、しかるべき報告フローを取る必要があるからだ。
記事の末尾に参考リンクをいろいろおいておいたので、詳細は確認してほしい。
この問題は、本来するべきチェック処理をしていないのだから、バグの一種といえる。
// ただ、改善する気がないのなら仕様となるのだろうけどね。
では、適当な数字を入れても予約できちゃうバグは、脆弱性(セキュリティホール)と言えるのか?
もし、脆弱性(セキュリティホール)となるなら、ゼロディでいきなり公開する前に、しかるべき報告フローを取るべきだ。
// ただ、新聞社は、ネットで噂になったものを取材して報道しただけであるから、ゼロディで公開とは言えないだろうけどな。
これはタダのバグであって、脆弱性(セキュリティホール)と呼ぶのは言い過ぎだろう。
例えば、教科書レベルの「"<script>alert("XSS");</script>」でXSSを発生させる意図的な入力をして、誤動作が発生するなら、それは間違いなく脆弱性(セキュリティホール)といえる。
同様に、SQLインジェクションを発生させる意図的な入力をして、何か変なことが起きれば、これも間違いなく脆弱性といえる。
他にも、超でかいデータを送りつけてバッファオーバーフローさせたり、特殊な入力をしてスタックを破壊して戻り値を改ざんして任意のコマンドを実行するみたいなものも同様に脆弱性と呼んでもいいだろう。
(注:念のために書いておくが、不正アクセスで違法になる可能性があるので、自分の所有するサイトやコンピュータ以外へは、これらの入力を試さないように。)
でも、ごく普通の入力をしても、エラーとしてはじかないで受け入れてしまうのは、脆弱性ではなく、タダのバグであるように思う。
「こういう操作したら、計算結果が変になった」はバグの領域であって、脆弱性とまでは言えない。
今までの話を簡単に言うとしたら、ドラクエ4で8回逃げたら会心の一撃が連続して出るのはバグなのか脆弱性なのか?って話になるのかな。
確かに、8回逃げることで、データのバッファオーバーフローが発生して、そのような結果になる。
でも、8回逃げるというはやろうと思えは誰でもできる動作であって、これをバグではなく脆弱性(セキュリティホール)と呼ぶのは違和感がある。
この裏技を見つけたとして、脆弱性としてしかるべき報告フローを取らずに公開したことを咎められるとしたら、実に変な話である。
これら裏技を試しても不正アクセスと言われて、罪を着せられたり、裏技の記事を削除されるとしたら、強烈な違和感がある。
今回の事件で、それが一番気になった。
最終的には、裁判で裁判所が決めることになるんだろうけど、あまりアホな判決を出して、日本のエンジニアの手足を拘束しないでほしいと思う。
参考URL:
■ドラクエ4で「にげる」8回でずっと会心の一撃になるバグ、こういう仕組みで起こってたらしい
https://b.hatena.ne.jp/entry/s/togetter.com/li/1715732
■「誰でも何度でも予約可能」ワクチン大規模接種東京センターの予約システムに重大欠陥
https://b.hatena.ne.jp/entry/s/dot.asahi.com/dot/2021051700045.html
■岸信夫 on Twitter: "自衛隊大規模接種センター予約の報道について。...
https://b.hatena.ne.jp/entry/s/twitter.com/KishiNobuo/status/1394440062125805572
■脆弱性の手口、IPA「見つけたらまず開発者やIPA窓口に報告して」 コロナワクチンの架空予約巡り
https://b.hatena.ne.jp/entry/s/www.itmedia.co.jp/news/articles/2105/18/news145.html
■Hiromitsu Takagi on Twitter: "私はこの届出制度の提唱者・設計者・運用協力者・有識者研究会委員であり、IPAの広報が取材にこんな回答をしたのであれば、出鱈目であり、...
https://b.hatena.ne.jp/entry/s/twitter.com/HiromitsuTakagi/status/1394713619212816385
■ワクチン大規模接種「架空ウェブ予約」やったら犯罪? 国は「法的手段」に言及
https://b.hatena.ne.jp/entry/s/www.bengo4.com/c_23/n_13071/
■確認作業は公益性高い、毎日新聞 接種センター架空入力は取材目的
https://b.hatena.ne.jp/entry/s/this.kiji.is/767285347672670208
https://b.hatena.ne.jp/entry/s/dot.asahi.com/info/2021051900065.html
これ↓
https://www3.nhk.or.jp/news/html/20210518/k10013038091000.html
もちろん作り方なり、仕様の検討なり色々まずいんじゃねーの?って意味合いで日本はまだまだIT後進国なんだなぁと思うのだけど、
それと並行してマスコミの報道の仕方をみるに政府だけじゃなくて国民もまだまだITリテラシーが足りないんだなぁって感じるよね。
例えば、
https://twitter.com/amneris84/status/1394616755142610946?s=19
https://twitter.com/amneris84/status/1394624640027226119?s=19
みたいに記事に不正アクセスの手順書いて不正行為を助長するようなことがあたかも悪いことではないように言ってたり、
https://twitter.com/lawkus/status/1394501075445579778?s=19
↑の様に弁護士の先生が下手したら検挙されかねない行為を称賛したり。
でも、手口を世に広める必要性は無いわけ。
あなた達の正義感を悪用する人達がいるのを理解してないのかな?
あーあ、これでサイバー攻撃食らったらアエラとそれを肯定した人たちはどうするんだろうね?国民の首絞めて正義を気取ってるのは笑っちゃうよ。
〜追記〜
→SEもアレな人はおるけど、まぁマスコミの人たちや法曹会の人たちは自分達が正義だと思いこんでそうって意味でたち悪いイメージがあるね。
→ぶっちゃけ、単に「不具合見つけました!」位の話ならここまで叩かれてないと思うわ。「政治家の不正を暴きました!」みたいなのと勘違いしてるフシはありそう。
